STIRIPESURSE.RO vă prezintă adevărata față a rețelei din China
STIRIPESURSE.RO vă prezintă, în exclusivitate, un raport bine documentat, cu date despre rețeaua chioneză Tiktok, despre care au apărut informații în ultimele zile, în spațiul public din România, cum că s-ar fi implicat în alegerile prezidențiale din România, după ce candidatul independent Călin Georgescu a reușit să ajungă în finala prezidențială, în urma promovării sale susținute pe rețeaua TikTok.
Raportul, realizat de DNSC, analizează riscurile de securitate cibernetică asociate utilizării aplicației TikTok și propune măsuri de protecție adecvate. TikTok colectează o gamă vastă de date personale, inclusiv informații de identificare și comportamentale, ceea ce prezintă riscuri de compromitere a datelor și vulnerabilitate în fața atacurilor cibernetice.
De asemenea, există îngrijorări privind conținutul periculos sau inadecvat și expunerea minorilor la interacțiuni nesigure. În plus, analiza evidențiază neconformitatea cu legislația europeană și posibilitatea utilizării datelor în scopuri geopolitice. Pe baza datelor analizate, dar și a expertizei tehnice prezentul raport oferă o derie de recomandări pentru utilizatorii obișnuiți și implementarea unor măsuri de securitate, precum activarea funcțiilor „Digital Wellbeing” și „Family Pairing”, pentru a reduce expunerea la riscuri. Este esențial ca utilizatorii să fie conștienți de aceste riscuri și să adopte măsuri adecvate pentru a-și proteja datele și securitatea online în timpul utilizării TikTok.
Contextul general al analizei se concentrează pe popularitate crescută a aplicației TikTok și pe îngrijorările legate de securitatea cibernetică asociată. TikTok a devenit una dintre cele mai populare platforme de social media, atrăgând milioane de utilizatori din întreaga lume. Cu toate acestea, odată cu creșterea popularității, au apărut și îngrijorări legate de colectarea și stocarea excesivă a datelor personale, compromiterea securității datelor, conținutul periculos sau inadecvat și expunerea minorilor la riscuri online. În plus, există îngrijorări legate de neconformitatea cu legislația europeană și posibilitatea utilizării datelor în scopuri geopolitice, în contextul proprietății chineze a TikTok-ului și legăturilor sale cu guvernul chinez.
Astfel că este crucială o analiză detaliată a riscurilor și a măsurilor de protecție pentru a informa utilizatorii și autoritățile cu privire la practicile și implicațiile utilizării TikTok.
Aplicația TikTok a fost fondată în 2016 de compania chineză ByteDance și de atunci a avut o creștere și o extindere impresionantă pe piața internațională. Începând cu ianuarie 2024, Statele Unite aveau cea mai mare audiență TikTok la nivel mondial, cu aproape 150 de milioane de utilizatori activi care interacționează cu platforma. Indonezia a urmat îndeaproape, cu aproximativ 126 de milioane de utilizatori TikTok, în timp ce Brazilia și-a asigurat poziția a treia, cu aproape 99 de milioane de utilizatori consumând videoclipuri scurte pe TikTok.
În 2023, TikTok avea aproximativ 1.5 miliarde de utilizatori activi lunar și se așteptă să atingă pragul de 2 miliarde până la sfârșitul anului 2024. Platforma a devenit rapid una dintre cele mai descărcate aplicații, depășind aplicații populare precum Instagram, Facebook și Snapchat.
Creșterea popularității TikTok a permis transformarea dintr-o platformă de social media într-un instrument puternic de marketing și promovare a diverselor produse. Acest fapt, coroborat cu presupusele legături cu guvernul chinez, a făcut ca aplicația TikTok să fie subiectul unor dezbateri în ceea ce privește securitatea datelor și o posibilă cenzură. Reacțiile la nivel global au variat, de la investigații la reglementări din partea unor guverne care au considerat TikTok o amenințare la adresa securității naționale, dar și în legătură cu protecția datelor.
Scopul raportului este acela de a stabili riscurile de securitate cibernetică la care sunt expuși utilizatorii aplicației TikTok și oferirea unor recomandări menite să reducă aceste riscuri. Acțiunile întreprinse de diferite țări împotriva TikTok variază semnificativ, reflectând îngrijorări legate de securitatea națională și protecțiadatelor.
În Europa, mai multe guverne au impus restricții asupra utilizării TikTok pe dispozitivele guvernamentale, în special în ministerele implicate în politica de apărare și securitate. Comisia Europeană, Parlamentul European, Consiliul European și serviciul diplomatic al UE au impus restricții asupra utilizării aplicației de către personalul lor, din cauza îngrijorărilor legate de securitate.
La nivel internațional, mai multe țări au luat măsuri pentru interzicerea sau restricționarea utilizării aplicației TikTok, invocând diverse motive. Printre aceste țări se numără India, care a interzis TikTok-ul în iunie 2020, din cauza temerilor legate de securitatea națională și acuzațiile de promovare a pornografiei. Statele Unite ale Americii au implementat restricții similare, aplicția fiind interzisă pe dispozitivele guvernamentale federale și de stat într-un total de 32 de state americane din motive de securitate și protejare a datelor confidențiale. Nepalul și-au unit vocile cu India în interzicerea TikTok-ului, invocând îngrijorări legate de armonia socială și impactul dăunător al conținutului aplicației.
Alte țări care au interzis sau restricționat TikTok-ul includ Australia, Franța, Canada, Uniunea Europeană, Taiwan, Pakistan, Afganistan și Iranul, fiecare având propriile motive, cum ar fi îngrijorări legate de securitatea datelor, amenințările la adresa securității naționale sau încălcările potențiale ale valorilor culturale și sociale.
Canada a interzis TikTok pe toate dispozitivele deținute de guvern, iar guvernele din Belgia, Franța, Germania, Olanda, Estonia, Danemarca, Letonia, Norvegia și Regatul Unit au impus interdicții similare.
În Regatul Unit, BBC a sfătuit toți angajații să înlăture aplicația, cu excepția cazului în care este utilizată explicit în scopuri profesionale.
Toate aceste măsuri reflectă îngrijorările globale legate de potențialele riscuri asociate cu utilizarea TikTok, în special în contextul tensiunilor dintre SUA și China și temerile legate de securitatea datelor și posibilele legături ale aplicației cu guvernul chinez.
În perioada alocată analizei dinamice (16 decembrie 2023 – 6 ianuarie 2024), Directoratul Național de Securitate Cibernetică a efectuat o analiză atentă a codului sursă (analiză statică) și a interacțiunilor aplicației cu dispozitivul (analiză dinamică) în cazul aplicației mobile TikTok. În urma analizei s-a observat contactarea a 190 de domenii, din 7 țări diferite, majoritatea aflându-se în afara spațiului Uniunii Europene.
Această analiză se concentrează asupra riscurilor de securitate cibernetică asociate utilizării aplicației TikTok și a măsurilor de securitate necesare pentru a minimiza riscurile asociate. Obiectivul este de a identifica și evalua aceste riscuri pentru a oferi recomandări practice atât pentru utilizatori obișnuiți cât și pentru autorități. Analiza statică apare detaliată în anexa acestui raport iar mai jos se poate observa distribuția geografică a domeniilor.
Analiza tehnică DNSC
Riscuri de securitate cibernetică asociate utilizării aplicației TikTok
– Colectarea și stocarea excesivă a datelor
Pornind de la ideea conform căreia TikTok ar colecta o gamă variată de date personale, inclusiv informații de identificare, date biometrice și informații despre comportamentul utilizatorilor, se poate asuma că riscurile asociate ar putea include compromiterea datelor, vulnerabilitatea la atacuri cibernetice și încălcarea intimității. Colectarea unei game variate de date personale, inclusiv informații de identificare (numele, vârsta, adresa de email și numărul de telefon), date biometrice ( imagini și înregistrări video care pot conține caracteristici faciale și alte date biometrice), informații despre interesele utilizatorilor, videoclipurile vizualizate și interacțiunile cu alte conturi, precum și informații despre locația utilizatorilor accentuează grija legată de confidențialitate și securitatea datelor.
Aceste informații sensibile pot fi expuse riscului de acces neautorizat sau de exploatare în cazul unor breșe de securitate sau al utilizării lor în scopuri neautorizate, ceea ce poate avea consecințe grave pentru utilizatori, inclusiv furtul de identitate și expunerea la alte forme de abuz online. De regulă, aceste date sunt utilizate pentru a adapta conținutul și reclamele, iar TikTok adună informații despre modul în care utilizatorii navighează în aplicație, inclusiv timpul petrecut vizionând anumite videoclipuri și reacțiile lor la conținutul afișat.
Riscurie asociate cu colectarea extensivă de date:
➢ Risc de compromitere a datelor: Un volum mare de date personale stocate crește riscul unei posibile expuneri și utilizări neautorizate în cazul unei breșe de securitate10. În 2020, Apple a descoperit o problemă în legătură cu iOS 14, când unele aplicații puteau accesa în secret clipboard-ul utilizatorului. TikTok a fost una dintre aceste aplicații, identificând ulterior problema ca fiind legată de un filtru anti-spam. Acest filtru a identificat greșit utilizatorii care postau același comentariu de pe mai multe conturi diferite pe același dispozitiv. Compania TikTok a recunoscut această defecțiune și a eliminat imediat această funcționalitate.
➢ Vulnerabilitate la atacuri cibernetice: Cu cât se stochează mai multe date, cu atât platforma este mai atractivă pentru atacatorii cibernetici. Guvernele și agențiile guvernamentale sunt printre cele mai vizate entități de către atacurile cibernetice, din cauza cantității masive de date sensibile pe care le dețin. Aceste date includ informații personale despre cetățeni, informații clasificate referitoare la securitatea națională și alte date esențiale. Dat fiind că informațiile reprezintă un bun de mare valoare pe piețele negre, entitățile guvernamentale devin ținte pentru atacatori12
➢ Încălcarea intimității: Colectarea extensivă de date poate provoca sentimente de intruziune, mai ales atunci când utilizatorii nu sunt pe deplin conștienți de amploarea colectăriidatelor sau când datele sunt utilizate în moduri neașteptate. În decembrie 2022, New York Times a dezvăluit modul în care anumiți angajați TikTok au avut acces la date sensibile, inclusiv adrese IP, pentru a urmări doi jurnaliști care investigau ByteDance13. Scopul a fost de a identifica sursele jurnaliștilor: persoane care lucrau pentru ByteDance și care le furnizau informații jurnaliștilor. Acest fapt a fost evidențiat și în articolul în care se dezvăluie că ByteDance, compania-mamă a platformei TikTok, a inițiat o campanie de supraveghere împotriva jurnaliștilor de la Forbes într-o încercare de a identifica sursele acestora. Scopul acestei campanii de supraveghere, numită Proiect Raven, a fost să identifice persoanele care lucrau pentru ByteDance și care furnizau informații jurnaliștilor. Această acțiune a fost declanșată în urma publicării unui articol de către BuzzFeed News care dezvăluia că angajații ByteDance din China au accesat repetat datele utilizatorilor americani de pe TikTok.
Campania a vizat jurnaliști de la Forbes care acoperiseră subiecte legate de companie, iar angajații implicați în această activitate neetică au fost concediați. Această dezvăluire subliniază o încălcare gravă a confidențialității și a libertății presei, precum și necesitatea unei reglementări și supravegheri mai stricte în ceea ce privește protecția datelor personale și a libertății presei în mediul digital.
Compromiterea datelor utilizatorilor sau scurgerea de date
TikTok a fost expusă la diverse amenințări de securitate, inclusiv tentative de phishing și vulnerabilități de securitate. Scurgerile de date pot avea consecințe grave pentru confidențialitatea utilizatorilor și pot duce la furtul de identitate și alte forme de abuz online. În august 2022, Microsoft a descoperit o vulnerabilitate în aplicație care ar putea permite hack erilor să acceseze conturile utilizatorilor și să manipuleze conținutul acestora.
În plus, au descoperit că atacatorii ar putea trimite link-uri false către utilizatori care ar putea duce la instalarea de malware pe dispozitivele lor. Îngrijorările legate de scurgerile de date sunt amplificate de capacitatea TikTok de a colecta, așa cum se menționa mai sus, o gamă largă de date personale, inclusiv informații biometrice16. Astfel de scurgeri de date ar putea avea consecințe grave pentru confidențialitatea datelor utilizatorilor. Pe de altă parte, compromiterea datelor personale ale utilizatorilor poate duce la furtul de identitate, fraudă sau alte forme de abuz online.
Conținut periculos sau inadecvat
Platforma TikTok a fost folosită pentru a răspândi informații false, conținut extremist și pentru a promova discursuri discriminatorii17. Acest conținut poate pune în pericol utilizatorii și poate afecta reputația companiilor. Deși părerile se concentrează în principal pe succesul algoritmic al TikTok-ului îngrijorările cu privire la dezvoltarea algoritmului în China ar putea proveni din temeri că acesta ar putea prioritiza sau promova conținut aliniat cu interesele chineze, potențial în detrimentul valorilor sau priorităților occidentale existând posibilitatea ca platforma să fie utilizată folosind practici precum „shadowbanning” (restricționarea unui utilizator fără notificare). De exemplu, au fost raportate blocări ale utilizatorilor după ce au postat conținut care protesta împotriva discriminării rasiale sau critica anumite persoane publice.
Documentele interne au arătat că TikTok instruiește moderatorii să restricționeze postările de la utilizatori considerați prea urâți, săraci sau inabili pentru platformă.
Platforma a fost folosită pentru a răspândi informații false și teorii ale conspirației, inclusiv în timpul pandemiei de COVID-19, punând astfel întreprinderile în pericol. De asemenea, au fost semnalate cazuri de partajare a conținutului extremist pe platformă, reprezentând un risc pentru companii sau utilizatori.
Companiile trebuie să fie conștiente de riscurile asociate conținutului TikTok și să întreprindă măsuri pentru a-și proteja reputația, inclusiv implementarea filtrării conținutului sau a altor măsuri pentru a bloca accesul la conținutul dăunător pe dispozitivele companiei. Toate aceste aspecte subliniază riscul ca TikTok să fie utilizat ca un instrument de manipulare politică și cenzură, influențând opiniile și atitudinile utilizatorilor în moduri care pot fi contrare principiilor de transparență și libertate de exprimare.
Expunerea minorilor la conținut sau interacțiuni nesigure
Există îngrijorări legate de expunerea minorilor la conținut inadecvat sau la interacțiuni nesigure pe TikTok, inclusiv conținutul potențial periculos și contactul cu persoane străine. Analizând riscul ca minorii să fie expuși la conținut sau interacțiuni nesigure pe platforma TikTok, se pot preciza câteva aspcte corelate acestora:
➢ Conținut potențial inadecvat pentru copii: există îngrijorări legate de prezența conținutului potențial inadecvat pentru copii pe TikTok, de la limbaj și imagini pâna la teme nepotrivite pentru utilizatorii minori.
➢ Conținut ce nu respectă normele de comportament: TikTok a întâmpinat provocări în gestionarea conținutului care încalcă normele de comportament sau care poate fi considerat ofensator, inclusiv conținut discriminatoriu și incitare la ură.
➢ Provocări periculoase și comportamente riscante: unele provocări populare de pe TikTok au fost asociate cu comportamente riscante sau periculoase, ceea ce a generat îngrijorări privind influența asupra utilizatorilor tineri.
➢ Expunere la conținut dăunător din punct de vedere mental: tinerii utilizatori pot fi expuși la conținut inadecvat, ofensator sau dăunător mental, cum ar fi mesaje care promovează violența, abuzul, discriminarea, dependența, tulburările alimentare sau sinuciderea.
➢ Contact cu persoane străine și hărțuire online: datorită caracterului interactiv al platformei, există îngrijorări privind posibilitatea ca minorii să intre în contact cu persoane străine sau să fie supuși abuzurilor sau hărțuirii online.
TikTok a fost criticat pentru colectarea unor cantități excesive de date fără a informa suficient utilizatorii sau a obține consimțământul acestora, inclusiv colectarea necorespunzătoare a datelor de la copii cu vârsta mai mică de 13 ani și utilizarea acestora pentru fi vizați de anunțurile publicitare. În 2020, Comisia Federală pentru Comerț a amendat compania cu $5,7 milioane pentru încălcarea legilor privind confidențialitatea datelor copiilor. De asemenea, Marea Britanie a amendat compania cu aproape 16 milioane de dolari pentru încălcarea legilor privind protecția datelor.
La începutul lunii noiembrie 2023, Bruxelles-ul a deschis, de asemenea, o anchetă privind măsurile luate de TikTok (precum și YouTube) pentru a proteja copiii cu vârsta sub 18 ani. Printre altele, executivul european este îngrijorat de consecințele anumitor videoclipuri asupra „sănătății mentale și fizice” a copiilor. Comisarul European pentru Piaţa Internă, Thierry Breton, facând din protecţia copilului una dintre priorităţile sale.
Neconformitatea cu legislația europeană
TikTok trebuie să respecte regulile DSA și GDPR pentru a opera în Uniunea Europeană. Încălcarea acestor reguli poate duce la sancțiuni financiare și investigații. Având în vedere numărul semnificativ de utilizatori europeni ai aplicației, TikTok este obligată să se conformeze legislației europene, inclusiv cerințelor Legii Serviciilor Digitale (DSA) și ale Regulamentului General privind Protecția Datelor (GDPR)20. În 2023, TikTok a fost inclusă în lista platformelor tehnologice supuse regulilor DSA.
Supravegherea exercitată de autoritățile europene asupra TikTok acoperă practicile companiei în ceea ce privește răspândirea informațiilor și protecția acestora pentru utilizatorii sub 18 ani21. Un test de stres realizat de Comisia UE în august 2023 a arătat că TikTok mai trebuie să facă progrese pentru a se conforma pe deplin regulilor DSA. În octombrie 2023, Comisia Europeană a solicitat informații de la TikTok (și de la Meta) în conformitate cu Legea Europeană a Serviciilor Digitale (DSA), care a intrat în vigoare la 25 august 2023.
La începutul lunii noiembrie 2023, Bruxelles-ul a inițiat o anchetă privind măsurile luate de TikTok (și de YouTube) pentru a proteja utilizatorii cu vârsta sub 18 ani. Printre preocupările executivei europene se numără impactul anumitor videoclipuri asupra „sănătății mentale și fizice” a copiilor23. Comisarul European pentru Piaţa Internă, Thierry Breton, a făcut din protecția copiilor una dintre prioritățile sale. Pe de altă parte, GDPR impune cerințe stricte privind colectarea, procesarea și protejarea datelor personale ale cetățenilor UE24. TikTok, ca orice altă platformă care operează în UE, trebuie să se conformeze acestor reglementări, inclusiv în ceea ce privește obținerea consimțământului utilizatorilor pentru colectarea datelor, gestionarea datelor în mod transparent și asigurarea dreptului la ștergerea datelor. În septembrie 2023,
Comisia pentru Protecția Datelor din Irlanda a impus o amendă de 345 de milioane de euro TikTok pentru încălcarea prevederilor GDPR în ceea ce privește protecția datelor personale ale copiilor, din cauza modului deficitar în care TikTok a gestionat datele personale ale acestora
Securitatea națională și utilizarea datelor în scopuri geopolitice
Există îngrijorări legate de accesul guvernului chinez la datele utilizatorilor TikTok și utilizarea acestor date în scopuri geopolitice. Autoritățile europene monitorizează aceste riscuri și pot impune restricții suplimentare. Există îngrijorări semnificative legate de faptul că TikTok, deținută de ByteDance, companie cu sediul în China, ar putea acționa în interesul Partidului Comunist Chinez (PCC). Datele sugerează că legislația chineză ar putea permite accesul guvernului chinez la datele utilizatorilor, alimentând temeri că TikTok ar putea fi utilizată în scopuri care nu sunt în linie cu interesele sau standardele internaționale de confidențialitate și securitate.
TikTok a indicat deja o predispoziție de a promova conținut aliniat cu interesele PCC pe platforma sa, Forbes remarcând că mai multe conturi gestionate de organele de propagandă ale PCC au acumulat un număr mare de urmăritori și vizualizări, publicând conținut polarizant despre politica SUA, inclusiv critici la adresa candidaților din ambele partide majore la alegerile din 20222. Îngrijorările cu privire la accesul guvernului chinez la datele colectate de TikTok sunt amplificate de capacitatea acestei platforme și a ByteDance de a aduna o cantitate considerabilă de informații, inclusiv date biometrice. Accesul Chinei la datele TikTok ar putea reprezinta un risc de securitate semnificativ, având în vedere posibilitatea utilizării acestor date în moduri care pot afecta atât securitatea națională, cât și interesele economice și politice ale altor țări
Totodată, pe fondul îngrijorărilor exprimate la nivelul Uniunii Europene, TikTok a anunțat intenția de a dezvolta un plan numit „Proiect Clover” pentru a stoca datele local în UE, într-o inițiativă similară cu „Proiectul Texas” din SUA29. Acest plan vizează localizarea datelor utilizatorilor UE prin stocarea lor pe servere situate în Europa și implică audituri detaliate efectuate de o companie europeană de securitate în ceea ce privește măsurile de securitate cibernetică și protecția datelor.
4. Concluzii și recomandări
În lumina riscurilor identificate, DNSC recomandă recomandă limitarea accesării aplicației TikTok de pe dispozitivele autorităților și instituțiilor publice din România, în cazul în care aceasta este deja instalată, și interzicerea descărcării, instalării și utilizării acesteia pe alte dispozitive care aparțin acestora.
Pentru utilizatorii obișnuiți ai aplicației TikTok, următoarele recomandări pot contribui la reducerea riscurilor de securitate cibernetică:
➢ Activarea caracteristicii „Digital Wellbeing”, care plasează limite de timp pentru utilizarea aplicației, contribuind astfel la moderarea timpului petrecut pe TikTok. Această setare permite și părinților să plaseze restricții asupra conturilor copiilor lor, însă este important să fie conștienți că nu toate materialele vizualizate sunt filtrate.
➢ Utilizarea caracteristicii “Family Pairing”, care le permite părinților să-și conecteze conturile la cele ale copiilor lor, oferindu-le astfel o supraveghere mai strictă asupra modului în care aceștia folosesc aplicația.
➢ Activarea opțiunilor de confidențialitate disponibile în secțiunea “Privacy and Safety”, cum ar fi modul privat, limitarea comentariilor doar pentru persoanele cunoscute, și controlul asupra trimiterii mesajelor directe de către anumite categorii de utilizatori.
➢ Blocarea sau raportarea utilizatorilor sau a comentariilor de pe TikTok, atunci când este necesar.
➢ Limitarea cantității de informații partajate în aplicație, evitând, de exemplu, conectarea contului TikTok la alte platforme de socializare precum Facebook și Instagram.
➢ Accesarea conținutului TikTok doar din aplicația oficială pentru a evita posibilele tentative de fraudă sau phishing.
➢ Asigurarea că se utilizează întotdeauna cea mai recentă versiune a aplicației pentru a beneficia de cele mai recente actualizări și patch-uri de securitate disponibile.
